专利名称:一种web服务异常检测方法
技术领域:
本发明涉及网络安全,具体涉及一种WEB服务异常检测方法。
背景技术:
针对未知攻击以及未知拒绝服务攻击的检测一直是网络入侵防御、网络 入侵保护、防拒绝服务领域的难题。业界的网络入侵检测、网络入侵保护以 及防拒绝服务产品均不能够对未知的新的拒绝服务攻击进行检测、报警、保 护和防御。究其根本的原因是,业界的网络入侵检测、网络入侵保护以及防 拒绝服务产品基本都以特征匹配的方式来进行检测、报警、阻断和防护。这 种技术路线的最大的缺陷是,这种方法必须事先提取已知攻击的攻击特征, 这种方法具有滞后于未知攻击的先天的缺陷。
发明内容
本发明需要解决的技术问题是如何提供一种WEB服务异常检测方法, 能对Web服务器未知拒绝服务攻击进行检测、报警、阻止。
本发明的上迷技术问题这样解决,提供一种WEB服务异常检测方法, 具体包括以下步骤
1.1) 分析建立Web服务器状态和通讯报文行为之间的对应关系;
1.2) 实时检测和分析网络通讯报文并根据通讯报文行为获知Web服务器 状态及其变迁;
L3)根据Web服务器状态变迁情况判断并报告是否受到未知拒绝服务攻击。
按照本发明提供的检测方法,所述步骤1.2 )进行实时检测和分析的攻击 探测器的具体部署方式有两种,分别是
4(-)通过连接在交换机镜像端口的攻击探测器进行旁路式检测和分析;所 述检测方法还包括判断受到未知拒绝服务攻击后自动完成攻击特征提取。
(二)通过网络中透明串联接入在Web服务器和Web客户端之间的攻击探 测器进行串接式检测和分析;所述检测方法还包括判断受到未知拒绝月良务攻 击后自动完成攻击特征提取并自动应用、自动阻止针对Web服务器的未知拒 绝服务攻击。
按照本发明提供的检测方法,所述Web服务器状态包括关机状态、开机 无服务状态、正常服务状态、服务异常中止状态和服务异常状态。
按照本发明提供的检测方法,所述服务异常中止状态包括无响应中止但 操作系统存活状态、无响应中止且操作系统崩溃状态和发送响应时中止但操 作系统未崩溃状态。
按照本发明提供的检测方法,所述步骤1.3 )中包括根据Web服务器由 正常服务状态进入服务异常中止状态判断受到未知拒绝服务攻击。
按照本发明提供的检测方法,所述步骤1.3 )中包括根据Web服务器由 正常服务状态进入服务异常状态判断受到连接阻断攻击。
按照本发明提供的检测方法,所述通讯报文包括HTTP、 TCP/IP协议报文。
本发明提供的一种WEB服务异常检测方法,通过分析客户端和Web服 务器端的通讯报文在各种状态的行为模式,建立了 Web服务器的状态和行为 模式之间的对应关系,通过本发明中所提出的系统对网络通讯中的客户端和 服务器端的之间报文的行为模式以及对应状态变迁的分析,能够对Web服务 器所处的异常状态进行发现,较目前方法能对未知的拒绝服务攻击进行净艮警, 阻止和提取、记录具有攻击特征的网络报文。
下面结合附图和具体实施例进一步对本发明进行详细说明。 图1是本发明旁路式攻击探测系统结构示意图; 图2是本发明串接式攻击探测系统结构示意图。
具体实施例方式
首先,iJL明本发明的思想
通过对客户端和Web服务器端之间的TCP/IP以及HTTP协议通讯报文 在各种状态下报文行为模式的分析和研究,建立了 Web服务器的正常状态, 遭受攻击等异常状态和通讯报文行为模式之间的对应关系,通过分析网络通 讯的报文的行为模式,发现Web服务器的状态变化,从而检测出未知的拒绝 服务攻击,在此基础上进行报警和对包含攻击的HTTP协议的请求数据部分 进行提取和记录,从而进一步对于采用透明串联接入;f莫式的攻击探测设备可 以对后续同样的攻击进行检测和阻断;对于釆用旁路^f莫式的攻击探测设备可 以做到攻击发生时及时报警和记录并向管理员提供攻击特征。
第二步,说明本发明的基本原理
Web服务器状态和TCP/IP协议栈才艮文行为之间的对应关系模型
通过对客户端和服务器端之间TCP/IP协议栈通讯报文行为分析,建立 TCP/IP协议栈两端交互通讯报文的行为和被保护的Web服务器状态之间的 对应模型。这些状态及对应的TCP/IP协议栈报文的行为如下
a关机状态指祐J呆护的Web服务器没有开机或者该服务器没有连入网 络,使该Web服务器的TCP/IP地址不可抵达,或者置于该服务器和互联网 之间的防火墙设置了丢弃一切外来请求报文的策略。该状态对应的客户端和 Web服务器端的TCP/IP通讯报文的行为模式如下
客户端向目标Web服务器的80端口发送TCP的SYN连接报文,但服 务器端没有后续的回应,可以表示成
客户端 SYN —〉 Web服务器80端口 无任何回应净艮文
b开机无服务状态指被保护的Web服务器开机,操作系统正常运行, 但是没有开启Web服务。该状态对应的客户端和Web服务器端的TCP/IP通 讯报文的行为模式如下
客户端向目标Web服务器的80端口发送TCP的SYN连接报文,目标
6服务器回应了RST报文。表示成
客户端 SYN — 〉Web服务器80端口
RSTACK <—Web服务器
c正常服务状态指被保护的Web服务器开机,操作系统正常运行, 开启了Web服务,能够在指定的时间段内做出对HTTP请求的响应,并能够 正常的终止TCP/IP连接,这里给出一个响应时间的参数Tr,在本发明中Tr是 预先指定并可以调整的。该状态对应的客户端和Web l良务器端的TCP/IP通 讯报文的行为^t式如下
客户端向目标Web服务器的80端口发送TCP的SYN连接报文,目标服 务器回应了 SYN ACK报文,然后客户端向Web服务器端发送ACK报文, 接着客户端发送包含HTTP协议请求内容的报文,例如"Get/HTTP/1.1", 目标服务器以下几种在Tr时间内的反馈为正常的服务状态
(1) 服务器端给出了 HTTP的响应报文,如果HTTP的响应报文为 HTTP/1.1 200 OK则后续的服务器发送的HTTP内容的长度和第一个HTTP 响应报文声明的长度相同;或者Web服务器给出了其它的HTTP协议所规范 的明确的响应。
(2) 该连接如果为Keep Live连接,客户端和服务器端之间多次的请求和 响应须符合(l)中所描述的内容。
(3) 如果是客户端和服务器端之间的最后一对完整HTTP的请求、应答, 应答的报文中包含了 FIN位,则后续的TCP结束^t良文可以为,客户端发送了 FINACK给服务器端,服务器端回应ACK后连接结束。
(4) 除(3)以外,客户端和服务器端之间的TCP连接的结束方式为,客户 端和服务器端之间的才艮文行为模式如下
客户端TCPFINACK—-〉Web服务器
ACK<— Web服务器
FIN ACK <— Web服务器
ACK—^ Web月良务器
d服务异常中止状态1—无HTTP响应中止,操作系统存活该状态是指
7客户端正常和服务器端建立了到Web服务器端口的连接后,客户端向^皮保护 的Web服务器端发送了某一 HTTP请求后,服务器在指定的时间Tr内没有 给出任何的HTTP响应,即Web服务器程序遭受了拒绝月良务攻击而退出,但 服务器操作系统运行正常。该状态对应的客户端和Web服务器端的TCP/IP 通讯报文的行为模式如下
客户端通过发送SYN报文和Web服务器端建立TCP连接,服务器端回 应SYNACK报文,客户端再向服务器端发送ACK报文,连接成功建立,然 后,客户端向服务器端发送了某一个HTTP请求,但目标服务器端在给定的 时间Tr内没有给出任何HTTP协议规范所规定的响应,却向客户端发出了 HNACK结束TCP连接的报文,客户端应答ACK报文,然后向服务器端发 送FINACK报文,服务器应答ACK结束双方的连接。表示成
客户端TCPSYN-> Web服务器
SYNACK <—Web服务器
ACK-+ Web服务器
HTTP请求如"Get / HTTP/1.1"— Web服务器
无响应
TCP FINACK <—Web服务器
ACK - >Web服务器
FINACK——Web服务器
ACK <—Web月良务器
这种异常状态,表明客户端的HTTP请求中包含拒绝服务攻击,Web服 务器程序在接收该请求后,服务中止,但操作系统及TCP/IP协议栈仍能正常 工作。
e服务异常中止状态2…无响应中止,操作系统崩溃该状态是指客户端 正常和服务器端建立了到Web服务器端口的连接后,客户端向被保护的Web 服务器端发送了某一HTTP请求后,服务器在指定的时间Tr内没有给出任何 的HTTP响应,Web服务器端也没有给出任何FIN ACK确认响应,即Web 服务器遭受了拒绝服务攻击而发生了操作系统的崩溃,因而Web服务器不能给出任何的后续响应报文。该状态对应的客户端和Web服务器端的TCP/IP 通讯报文的行为模式如下
客户端通过发送SYN报文和Web服务器端建立TCP连接,服务器端回 应SYNACK报文,客户端再向服务器端发送ACK报文,连接成功缘立,然 后,客户端向服务器端发送了某一个HTTP请求,但目标服务器端在给定的 时间Tr内没有给出任何HTTP协议规范所^见定的响应,也没有向客户端发出 FINACK结束TCP连接报文。表示成
客户端TCP SYN—>Web服务器
SYNACK <—Web服务器
ACK--^ Web服务器 HTTP请求如"Get/xxxx HTTP/1.Web服务器 无后续任何响应
这种异常状态,表明客户端的HTTP请求中包含拒绝服务攻击,Web服 务器程序在接收该请求后,操作系统崩溃,服务中止。
f服务异常中止状态3—发送响应时中止,操作系统未崩溃该状态是指 客户端正常和服务器端建立了到Web服务器端口的连接后,客户端向被保护 的Web服务器端发送了某一 HTTP请求后,服务器在指定的时间Tr内给出 了 HTTP响应,但未向客户端发送完在响应头中声明的数据长度服务即异常 中止,但操作系统并未崩溃。该状态对应的客户端和Web服务器端的TCP/IP 通讯报文的行为模式如下
客户端通过发送SYN报文和Web服务器端建立TCP连接,服务器端回 应SYNACK报文,客户端再向服务器端发送ACK报文,连接成功建立,然 后,客户端向服务器端发送了某一个HTTP请求,目标服务器端在给定的时 间Tr内给出对应请求的HTTP响应,开始向客户端发送数据,但在完成响应 头所声明的数据长度传输之前,在发送给客户端的数据包中包含了 FIN连4矣 中止位,服务异常中止,而后,客户端发送了 FINACK确认报文,Web服务 器回应了ACK报文,连接中止。
9这种状态表明客户端发送的HTTP请求中包含了拒绝服务攻击,而服务 器程序在处理响应时崩溃,中止了服务,但服务器操作系统存活。
g服务异常状态--响应过慢该状态是指客户端正常和服务器端建立了 到Web服务器端口的连接后,客户端向被保护的Web服务器端发送了某一 HTTP请求后,服务器未能在指定的可接受的最慢响应时间Tmin内给出HTTP 响应,但在指定的超时时间Tmax内给出了响应,表明Web服务器已经过载。
该状态对应的客户端和Web服务器端的TCP/IP通讯报文的行为模式如
下
客户端通过发送SYN报文和Web服务器端建立TCP连接,服务器端回 应SYNACK报文,客户端再向服务器端发送ACK报文,连接成功建立,然 后,客户端向服务器端发送了某一个HTTP请求,服务器未能在指定的可接 受的最慢响应时间Tmin内给出HTTP,但在指定的超时时间Tmax内给出了响应。
这种状态表明客户端发送的HTTP请求中包含了拒绝服务攻击,而服务 器程序及系统出现了过载,但Web服务器程序并未退出,服务器操作系统未 崩溃。
h服务异常状态--服务连接被攻击阻断该状态是指客户端和Web服务 器端建立TCP连接时,能够窃听到双方通讯报文的旁路攻击者,通过伪装服 务器端地址给客户端发送断开连接欺骗报文的方式阻断了双方的通讯连接, 使客户端请求的Web服务不能正常完成。
该状态对应的客户端和Web服务器端的TCP/IP通讯报文的行为模式如
下
客户端通过发送SYN报文和Web服务器端建立TCP连接,客户端先后 收到了服务器端回应SYNACK报文,和相同ACK序号的RSTACK报文(顺 序不分先后),这种行为对于单独的Web服务器系统而言,是不可能发生的, 这种行为模式可以确认是能够窃听双方通讯的攻击者对双方的通讯进行了阻 断攻击。
第三步,说明本发明攻击探测器系统的部署方式,具体包括二种 (-)旁路方式接入
10如图1所示,攻击探测器31接在交换机2的镜像端口,可以旁路监听 Web客户端和Web服务器4之间的所有通讯报文;图中,Web客户端分为普 通客户端11和拒绝服务攻击客户端12,所述攻击探测器31还连接攻击探测 器管理端32。
(=)透明串联方式接入
如图2所示,与图1区别的部分是攻击探测器31串接在Web客户端和 Web服务器4之间,这种方式中攻击探测器不仅可以获取双方的通讯报文, 还能够决定是否转发存在攻击特征的请求。所述攻击探测器31连4妻的攻击探 测器管理端32能对攻击探测器31的如下的参数进行配置,包括攻击探测器 31要保护的Web服务器4的范围清单,所保护的Web服务器4的最小响应 时间Tmin,最大响应时间Tmax,响应时间阀值Tr;同时该管理客户端32用 以显示来自攻击探测引擎的告警和包含具体攻击特征的请求内容。
攻击探测引擎通过对网络镜像报文的捕获,对报文进行协议分析以确定 TCP/IP报文的种类,即SYN连接报文、SYNACK连接确认报文,FIN连接结 束报文,FIN ACK连接结束确认报文,RST ACK连接重置报文以及包含应用 层数据的报文,比如HTTP数据报文。
最后,说明本发明的攻击探测方法及处理流程
首先假二没客户端和Web服务器端的通讯大部分都是在正常的工作状态,
即通过检测和分析网络的报文,确认被保护的Web服务器处于c状态。 然后开始本方法的工作流程。
1)被保护的Web服务器的状态由c进入a,攻击探测系统管理客户端 向管理员报告被保护的Web服务器异常关机。
2 )被保护的Web服务器的状态由c进入b,攻击探测系统管理客户端 向管理员报告被保护的Web服务器Web服务异常中止。
3 )被保护的Web服务器的状态由c进入d,攻击探测系统管理客户端 向管理员才艮告被保护的Web服务器受到未知拒绝服务攻击,服务停止。
4)被保护的Web服务器的状态由c进入e,攻击探测系统管理客户端 向管理员报告被保护的Web服务器受到未知^绝服务攻击,Web服务器操作
ii系统崩溃。
5) 被保护的Web服务器的状态由c进入f,攻击4果测系统管理客户端 向管理员报告被保护的Web服务器受到未知拒绝服务攻击,Web服务程序在 处理响应时中止。
6) 被保护的Web服务器的状态由c进入g,攻击探测系统管理客户端 向管理员报告被保护的Web服务器受到未知拒绝服务攻击,Web服务程序已 经过栽,响应过慢。
7) 被保护的Web服务器的状态由c进入h,攻击探测系统管理客户端 向管理员才艮告被保护的Web服务器和客户端之间受到连接阻断攻击。
8) 对于处理流程3)、 4)、 5)、 6),以旁路方式部署和透明串行方式部署 的攻击探测器在告警的同时将该次的HTTP请求的内容通过管理客户端记录 并显示给管理员以供分析。对于处理流程3)、 4)、 5)、 6),以透明串行方式 部署的攻击探测器将提取此次HTTP请求的URL内容或HTTP协议中Post 的数据部分,并将其作为其根据请求特征判断是否拒绝服务攻击的依据,攻 击探测器对后续的客户端的HTTP请求中URL内容和已经提取的攻击URL 或Post数据进行匹配,如果相符,则认为是拒绝服务攻击,并丢弃相应的请 求报文,避免服务器遭受攻击,从而完成自动的攻击特征提取,自动应用, 自动阻止针对Web服务器的未知拒绝服务攻击。
9) 完成处理流程1)—8)之后,该系统等待符合状态c的报文行为模式的出 现,然后重复从状态c开始的异常检测过程。
1权利要求
1、一种WEB服务异常检测方法,其特征在于,包括以下步骤1.1)分析建立Web服务器(4)状态和通讯报文行为之间的对应关系;1.2)实时检测和分析网络通讯报文并根据通讯报文行为获知Web服务器(4)状态及其变迁;1.3)根据Web服务器(4)状态变迁情况判断并报告是否受到未知拒绝服务攻击。
2、 根据权利要求1所述检测方法,其特征在于,所述步骤1.2)中实 时检测和分析是通过连接在交换机(2)镜像端口的攻击探测器(31)进行旁路式 检测和分析。
3、 根据权利要求2所述检测方法,其特征在于,所述检测方法还包括 判断受到未知拒绝服务攻击后自动完成攻击特'征提取。
4、 根据权利要求1所述检测方法,其特征在于,所述步骤1.2)中是 通过透明串联接入在Web服务器(4)和Web客户端(ll 、 12)之间的攻击探测器 (31)进行串接式检测和分析。
5 、 根据权利要求3所述检测方法,其特征在于,所述检测方法还包括 判断受到未知拒绝服务攻击后自动完成攻击特征提取并自动应用、自动阻止 针对Web服务器(4)的未知拒绝服务攻击。
6、 根据权利要求1所述检测方法,其特征在于,所述Web服务器(4) 状态包括关机状态、开机无服务状态、正常服务状态、服务异常中止状态和 服务异常状态。
7、 根据权利要求6所述检测方法,其特征在于,所述服务异常中止状 态包括无响应中止但操作系统存活状态、无响应中止且操作系统崩溃状态和 发送响应时中止但操作系统未崩溃状态。
8、 根据权利要求1或6所述检测方法,其特征在于,所述步骤1.3) 中包括根据Web服务器(4)由正常服务状态进入服务异常中止状态判断受到未知拒绝服务攻击。
9、 根据权利要求1或6所述检测方法,其特征在于,所述步骤1.3) 中包括根据Web服务器(4)由正常服务状态进入服务异常状态判断受到连接 阻断攻击。
10、 根据权利要求所述检测方法,其特征在于,所述通讯报文包括 HTTP、 TCP/IP协议报文。
全文摘要
本发明涉及一种WEB服务异常检测方法,包括分析建立Web服务器(4)状态和通讯报文行为之间的对应关系;实时检测和分析网络通讯报文并根据通讯报文行为获知Web服务器(4)状态及其变迁;根据Web服务器(4)状态变迁情况判断并报告是否受到未知拒绝服务攻击。这种方法,通过分析建立Web服务器状态和通讯报文行为之间的对应关系,通过报文实时检测及对应Web服务器状态变迁分析,能对Web服务器所处异常状态进行发现,较目前方法可以对未知的拒绝服务攻击进行报警,阻止和提取、记录具有攻击特征的网络报文。
文档编号H04L29/06GK101635703SQ20081011711
公开日2010年1月27日 申请日期2008年7月24日 优先权日2008年7月24日
发明者牛妍萍, 赵海峰 申请人:北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司